• Anasayfa
  • Nesne
  • Genel
  • Bir Filtre Atlaması ve Bazı Onaltılık Sayılarla, Saldırıya Uğramış Kredi Kartı Numaraları Hâlâ Google Kullanabiliyor

Bir Filtre Atlaması ve Bazı Onaltılık Sayılarla, Saldırıya Uğramış Kredi Kartı Numaraları Hâlâ Google Kullanabiliyor

Yayınlanan: 2022-03-11

Kredi Kartı Hacklenmesine Dair Bir Söz

Beni tanıyorsanız veya bir önceki yazımı okuduysanız Toptal'a katılmadan önce çok ilginç bir şirkette çalıştığımı biliyorsunuzdur. Bu şirkette, ödeme sağlayıcımız günde 500 bin dolar civarında işlem gerçekleştirdi. İşimin bir kısmı, sağlayıcımızı PCI-DSS uyumlu, yani Ödeme Kartı Endüstrisi – Veri Güvenliği Standardı ile uyumlu hale getirmekti.

Bunun kalbin zayıflığı için bir iş olmadığını söylemek güvenli. Bu noktada, Kredi Kartları (CC), Kredi Kartı korsanlığı ve genel olarak web güvenliği konusunda oldukça yakınım. Sonuçta bizim işimiz, kullanıcılarımızın verilerini korumak, bu verilerin saldırıya uğramasını, çalınmasını veya kötüye kullanılmasını önlemekti.

Bennett Haselton'un 2007'de Slashdot hakkındaki makalesini gördüğümde ne kadar şaşırdığımı tahmin edebilirsiniz: CC Numaralarını Bulmak Neden Hala Bu Kadar Kolay?. Kısacası, Haselton Kredi Kartı numaralarını Google aracılığıyla, önce bir kartın ilk sekiz hanesini “nnnn nnnn” formatında arayarak ve daha sonra sayı aralıklarına dayalı bazı gelişmiş sorgular kullanarak bulabildi. Örneğin, CHASE'den (tüm kartları 4060 ile başlayan) 16 haneli Birincil Hesap Numaralarının (PAN'lar) tamamını bulmak için "40600000000000000..4060999999999999" kullanabilir. Bu arada: İşte Veren Kimlik numaralarının tam listesi.

Google, Bennett'in kullandığı sorgu türlerini hemen filtrelemeye başladığından, o zaman pek düşünmedim. Google'a böyle bir aralık denediğinizde, Google "Sen kötü bir insansın" satırları boyunca bir şeyler söyleyen bir sayfa sunar.

Bu, Google'ın çevrimiçi olarak kredi kartı numaralarını nasıl bulacağını bulmaya çalışanlara yanıtıdır.

Yaklaşık altı ay önce eski bir arkadaşla anıları anarken bu kredi kartı numarası hilesi tekrar aklıma geldi. Kısa bir süre sonra, endişe verici bir şey keşfettim. Çok endişe verici değil ama kesinlikle endişe verici - bu yüzden Google'a haber verdim ve bekledim. Bir ay cevapsız kaldıktan sonra, boşuna onları tekrar bilgilendirdim.

Haselton'un eski numarasında küçük bir değişiklikle Google Kredi Kartı numaralarını, Sosyal Güvenlik numaralarını ve diğer hassas bilgileri alabildim.

Bu yüzden Google'a haber verdim ve bekledim. Bir ay cevapsız kaldıktan sonra, boşuna onları tekrar bilgilendirdim. Haselton'un eski numarasında küçük bir değişiklik yaparak Google Kredi Kartı numaralarını, Sosyal Güvenlik numaralarını ve diğer hassas bilgileri alabildim.

Bennett

Dün, bazı arkadaşlarım (buhera.blog.hu ve _2501) daha yeni bir Slashdot gönderisini dikkatimi çekti: Kredi Kartı Numaraları Hala Google'da Kullanılabilir.

Makalenin yazarı, yine orijinal makaleyi 2007'de yazan Bennett Haselton, kredi kartı numaralarının hâlâ Google'da bulunabileceğini iddia ediyor. Sayı aralığı sorgu hackini kullanamazsınız, ancak yine de yapılabilir. Basit aralıklar kullanmak yerine, sorgunuza özel biçimlendirme uygulamanız gerekir. Şuna benzer bir şey: “1234 5678” (ortadaki boşluğa dikkat edin). Bu sorgu için çok sayıda sonuç geliyor, ancak çok azı gerçek ilgi görüyor. Yarışmacılar arasında telefon numaraları, posta kodları vb. Son derece endişe verici değil. Ama işte kredi kartı hilesi geliyor.

Metodoloji

2007'de yapabildiğimiz şekilde kredi kartı numaralarını çevrimiçi olarak almanın hala mümkün olup olmadığını merak ediyordum. İyi bir Mühendis olarak, olaylara genellikle doğru bir şekilde yorumlanmış ve en yüksek hassasiyetle mükemmel şekilde uygulanması gereken akıllı bir plan kullanarak yaklaşırım. Bu yöntemi denediyseniz, gerçekten başarısız olabileceğini biliyor olabilirsiniz - bu durumda dikkatli planlamanız ve çabanız boşa gider.

BT'de, tam olarak garanti edilmese bile aşırı entelektüelleştirme eğilimindeyiz. Arkadaşlarımın ve meslektaşlarımın görünüşte rastgele girdiler kullanarak uygulamaları tamamen bozduğunu gördüm. Başarı oranları baş döndürücüydü ve buna harcadıkları çaba sıfıra yakındı. İşte o zaman bir kapıyı açmayı, bazen sadece kapıyı çalmak gerektiğini öğrendim.

Kredi Kartı Hack

Önceki paragraf, "elit hack becerilerimi" gösterdiğimde beni daha az aptal gibi göstermeye yönelik zekice gizlenmiş bir girişimdi. Hata.

İlk olarak, birkaç aralık sorgusu tabanlı yaklaşım denedim. Ardından, gelişmiş sorgulara ve yaklaşık bir saat içinde bulabileceğiniz hemen hemen her şeye baktım. Hiçbiri önemli sonuçlar vermedi.

Ve sonra aklıma çılgın bir fikir geldi.

Ya filtreleme motoru ile gerçek arka uç arasında bir uyumsuzluk varsa? Ya Google'dan aldığım mesaj (“Sen kötü bir insansın”) arka uçtan değil de Google'ın benimki gibi sorguları sansürlemek için uyguladığı belirlenmiş bir filtreleme motorundan geliyorsa?

Mimari açıdan çok mantıklı olurdu. Ve bunun gibi hatalar oldukça yaygındır - bunları her zaman ITSEC'de, özellikle IDS/IPS çözümlerinde ve aynı zamanda yaygın yazılımlarda görüyoruz. Verileri işleyen ve yalnızca verinin kabul edilebilir/kötü amaçlı olmadığını düşünürse arka uca veren bir filtreleme prosedürü vardır. Ancak, arka uç ve filtreleme sunucusu, girişi neredeyse hiçbir zaman tam olarak aynı şekilde ayrıştırmaz. Böylece, görünüşte geçerli bir girdi filtreden geçebilir ve filtreyi etkin bir şekilde atlayarak arka uçta hasara yol açabilir.

Girişinizi çeşitli kodlamalarda sağlayarak genellikle bu tür davranışı tetikleyebilirsiniz. Örneğin: ondalık sayılar (0-9) kullanmak yerine, onları onaltılı, sekizli veya ikili sayıya dönüştürmeye ne dersiniz? Öyleyse tahmin et…

Bunu arayın ve Google size kötü bir insan olduğunuzu söyleyecektir: “40600000000000000..4060999999999999”

Bunu arayın ve Google, "0xe6c8c69c9c000..0xe6d753e6ecfff" yükümlülüğünü yerine getirmekten mutluluk duyacaktır.

Yapmanız gereken tek şey, kredi kartı numaralarını ondalık sayıdan onaltılık sayıya dönüştürmektir. Bu kadar.

Sonuçlar şunları içerir:

  • Potansiyel olarak hassas bilgilerle dolu devasa CSV dosyaları.

Bu basit kredi kartı hackiyle, büyük bir gizlilik istilası gerçekleşmeyi bekliyor.

  • Hatalı e-ticaret günlük dosyaları.

Bu hatalı e-ticaret günlük dosyaları, kredi kartı aramasını kolaylaştırır.

  • Hacker sitelerinde (ve hatta Facebook'ta) paylaşılan hassas bilgiler.

Kredi kartlarını hacklemek, onaltılık sayı kullanmak kadar basittir.

Gerçekten korkutucu bir şey.

Bu hatanın herhangi bir güvenlik araştırmasına ilham vermeyeceğini biliyorum, ama işte karşınızda. Google bu boo-boo yaptı ve bana cevap yazmayı bile ihmal etti. Pekala, olur. Yine de büyük G'deki güvenlik görevlilerini kıskanmıyorum. Bakmaları gereken çok şey olmalı. Bu kredi kartı numarası hack'ini buraya yazıyorum çünkü:

  1. Nispeten düşük bir etkiye sahiptir.
  2. İlgilenen ve motive olan herkes bunu şimdiye kadar çözmüştür.
  3. Haselton'dan alıntı yapmak gerekirse, eğer büyük oyuncular sorumluluk almıyor ve bu istismarlara göre hareket etmiyorsa, “yapılması gereken doğru şey, soruna ışık tutmak ve en kısa sürede düzeltmeleri için ısrar etmektir”.

Bu numara, telefon numaralarını, SSN'leri, TFN'leri ve daha fazlasını aramak için kullanılabilir. Ve Bennett'in yazdığı gibi, bu numaraları değiştirmek, bankanızı arayıp kartı iptal edebileceğiniz Kredi Kartınızdan çok daha zordur.

Örnek Sorgular

UYARI: Kendi kredi kartı numaranızın tamamını Google'a ÇIKARMAYIN!

4060: 40600000000000000..4060999999999999 ile başlayan herhangi bir CC PAN'ı arayın. 0xe6c8c69c9c000..0xe6d753e6ecfff

'Telenor' sağlayıcısından bazı Macar telefon numaraları? Sorun değil: 36200000000..362099999999 ? 0x86db02a00..0x86e48c07f

SSN'leri arayın. Neyse ki, bunlar çok anlamlı sonuçlar döndürmez: 100000000..999999999 ? 0x5f5e100..0x3b9ac9ff

Çok daha fazlası var.

Çok endişe verici bir şey bulursanız veya kredi kartı korsanlığını merak ediyorsanız, lütfen bunu yorumlarda bırakın veya [email protected] adresinden e-posta ile veya @synsecblog adresinden Twitter'da benimle iletişime geçin. Bu durumlarda polisi aramak genellikle boşunadır, ancak denemeye değer olabilir. Belirtilen satıcı veya kart sağlayıcı genellikle sorunu çözme konusunda daha isteklidir.

Buradan Nereye Gidilir

Google'ın bunu muhtemelen Visa ve Mastercard gibi büyük oyuncuların yardımıyla düzeltmesi gerekiyor. Aslında, Haselton, yukarıda bağlantılı iki makalede bir dizi ilginç öneri sunuyor.

Bununla birlikte, yapmanız gereken (ve bu yazıyı neden yazdığım) kelimeyi yaymaktır. Kredi Kartı dolandırıcılığı büyük bir endüstridir ve basit bir farkındalık sizi kurban olmaktan kurtarabilir. Ayrıca, bir e-ticaret siteniz varsa veya herhangi bir kredi kartı işlemi yapıyorsanız, lütfen güvende olduğunuzdan emin olun. PCI-DSS iyi bir kılavuzdur, ancak mükemmel olmaktan uzaktır. Ayrıca, hassas numaraları aramak için sitenizi "site:mysite.com" gelişmiş sorgusuyla Google'a göndermek her zaman iyi bir fikirdir. Bir şey bulma ihtimaliniz çok çok zayıf - ama bulursanız hemen harekete geçmelisiniz.

Ayrıca bir dost tavsiyesi: Kredi kartı bilgilerinizi asla kimseye vermemelisiniz. Benim tavsiyem, mümkün olduğunda PayPal veya benzeri bir hizmet kullanmak olacaktır. Daha fazla bilgi için şu linklere göz atabilirsiniz:

  • Visa'nın kredi kartı güvenlik ipuçları
  • Citi'nin kredi kartı güvenlik ipuçları

Ve birkaç genel ipucu: istemediğiniz şeyleri indirmeyin, istenmeyen e-postaları açmayın ve bankanızın asla şifrenizi istemeyeceğini unutmayın.

Bu arada: Hiç kimsenin bu kredi kartı hackleme tekniklerine kanacak veya kredi kartı bilgilerini internette paylaşacak kadar aptal olmadığını düşünüyorsanız, @NeedADebitCard'a bir göz atın.

Güvende kalın insanlar!